Threat Defender in Aktion – Use Cases
Nachdem wir uns bisher auf einer eher abstrakten Ebene mit Threat Defender beschäftigt und mit dessen grundlegenden Arbeitsweise vertraut gemacht haben, wollen wir uns nun auch ein paar praktische Use Cases ansehen. Abhängig vom Deployment Modus – passiv am Mirror-Port oder aktiv als Network Switch – kann Threat Defender entweder als reines Auskunftssystem dienen oder eben auch aktiv in den Netzwerkverkehr eingreifen. Der Einsatz im passiven Modus ist also vor allem dann sinnvoll, wenn Threat Defender ausschließlich als mächtige Informationsquelle genutzt werden soll, mit dem sich das Netzwerk interaktiv aus verschiedenen Blickwinkeln betrachten lässt. Die mit Hilfe der Threat Intelligence Engine gewonnenen Erkenntnisse kann Threat Defender – beispielsweise per E-Mail – an einen Administrator übermitteln oder auch Aktionen per Web-Hook an anderen Sicherheitssystemen auslösen.
Network Access Control
Unbekannte Geräte im Netzwerk stellen eine latente Bedrohung für die Sicherheit von Netzwerken dar. So könnten unbedarfte Anwender auf die Idee kommen, aus Gründen der Bequemlichkeit mitgebrachte Geräte wie Wireless Access Points ans Netzwerk anzuschließen und damit auch unbefugten Dritten Zugang zum Netzwerk zu verschaffen. Da diese Geräte häufig auch einen DHCP Server beinhalten besteht darüber hinaus die Gefahr, dass falsche IP-Adressen an die Clients im Netz verteilt werden. Üblicherweise übernehmen daher Systeme für die Netzwerkzugriffskontrolle (Network Access Control, NAC) die Aufgabe, fremde Geräte im Netzwerk zu detektieren und an der Kommunikation zu hindern. Threat Defender kann diese Aufgabe übernehmen.
Unabhängig vom Installationsszenario lernt Threat Defender nach der ersten Aktivierung automatisch alle MAC-Adressen der erkannten Geräte im Netzwerk und trägt diese als Assets in die interne Datenbank ein. So lange die automatische Erkennung von Assets aktiv ist (“Inventory / Asset Setting / Auto Discovery”), erstellt Threat Defender laufend neue Datenbankeinträge, wenn bisher unbekannte Geräte im Netzwerk erkannt werden. In Kombination mit einer entsprechenden Richtlinie lässt sich der Zugriff auf das Netzwerk für diese neuen Geräte sehr elegant einschränken. Per Default werden neue Geräte von Threat Defender mit dem vordefinierten Label “#AutoDiscovered” gekennzeichnet. Damit wir neue Geräte von bereits bekannten zweifelsfrei unterscheiden können, ändern Sie daher zunächst das Label für neue Geräte unter “Inventory / Asset Setting / Auto Discovery” auf einen anderen Namen, z. B. “#NewDeviceDiscovered”. Im nächsten Schritt erstellen Sie über “Policy / Rules / Add Global Rule” eine neue Richtlinie und vergeben einen Namen, z. B. “NAC” sowie eine entsprechende Beschreibung. Im Bereich “Source & Destination” wählen Sie unter Source Networks “Any” und unter Destination Networks “Internal” aus. Danach aktivieren Sie den Slider “Assets” und wählen unter Source Tags aus der Liste unser Label mit dem Namen #NewDeviceDiscovered aus. Da wir den Zugriff auf das Netzwerk für neue Geräte unterbinden möchten, wählen Sie unter “Actions / Final Action” “Drop Traffic and Stop Processing” aus und speichern die neue Policy mit Klick auf den “Save” Button. Um die neue Regel zu aktivieren klicken Sie abschließend auf den “Apply Change” Button ganz oben links im Hauptmenü.
ARP Spoofing erkennen
Neben der Problematik unbekannter bzw. fremder Geräte im Netzwerk stellen aktive Manipulationen an Netzwerkverbindungen ein weiteres großes Problem dar. So können Angreifer gefälschte ARP-Nachrichten (Adress Resolution Protocol) versenden, um Netzwerkverbindungen so zu beeinflussen, dass enthaltene Daten als “man in the middle” mitgelesen oder diese sogar verändert werden können. Auf diese Weise kann ein Angreifer beispielsweise den legitimen Download eines Benutzers durch ein Malware-Programm ersetzen oder auch Druckjobs auf ihrem Weg vom Client zum Drucker verändern. Threat Defender kann dieses sog. ARP-Spoofing erkennen und spoofende Geräte blockieren in dem er die Beziehungen zwischen IP- und MAC-Adressen überwacht. Denn eine IP-Adresse kann jeweils immer nur mit einer MAC-Adresse verknüpft werden. Wenn also mehrere IP-Adressen ihre MAC-Adress-Beziehung auf ein und dieselbe MAC-Adresse ändern, handelt es sich mit hoher Sicherheit um einen ARP-Spoofing Angriff.
Um ARP-Spoofing Angriffe erkennen und blockieren zu können analysiert Threat Defender die MAC-IP- sowie die IP-MAC Adressbeziehung zunächst in jeweils einer eigenen Tracking-Tabelle. Verdächtige Geräte werden anschließend in einem dynamischen Netzwerkobjekt gesammelt auf welches Threat Defender dann mit einer passenden Regel (z. B. Drop Traffic and Stop Processing) reagiert.